はじめに
このドキュメントでは、ハイアベイラビリティ(HA)のSecure Firewall Management Center(FMC)の環境をアップグレードする手順について説明します。
前提条件
要件
次の項目に関する知識があることを推奨しています。
使用するコンポーネント
このドキュメントの情報は、Virtual Secure Firewall Management Centerバージョン7.4.2に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
アップグレードは、一度に1つのピアである必要があります。
まず、ピア間の同期を一時停止します。
次に、最初にスタンバイでアップグレードを行い、その後アクティブFMCでアップグレードを行う必要があります。
警告:スタンバイピアが事前チェックやインストールを行っている間に、両方のピアがアクティブに切り替わります。これをスプリットブレインと呼びます。
アップグレード中は完全に予想どおりの動作です。この間は、設定変更を行ったり、導入したりしないでください。
設定変更を行うと、同期の再起動後に失われる可能性があります。
アップグレード前
- アップグレードパスを計画します。FMCの導入では、通常はFMCをアップグレードしてから、その管理対象デバイスをアップグレードします。実行したアップグレードと次に実行するアップグレードを常に把握します。
- すべてのアップグレードガイドラインと構成変更の計画を読みます。
- 帯域幅を確認します。大規模なデータ転送を実行するための帯域幅が管理ネットワークにあることを確認します。
- メンテナンスウィンドウをスケジュールします。
- アップグレードの前後に設定をバックアップします。[システム] > [ツール] - [バックアップ/復元] > [Firepower Managementバックアップ]。バックアップをローカルマシンにダウンロードします。
- 仮想ホスティングのアップグレードこれは、古いバージョンのVMwareを実行している場合に必要です。
- 設定を確認します。
- NTPの同期をチェックします。
FMC:System > Configuration > Timeの順に選択します。
デバイス:show time CLIコマンドを使用します。
- ディスクスペースを確認します。
- 設定を導入します。FMCのハイアベイラビリティ展開では、アクティブピアからの展開だけが必要です。
- 実行中のタスクを確認します。保留中の展開がないことを確認します。
アップグレード手順
ステップ 1:同期の一時停止
プライマリ(アクティブ)ユニットで、ピア間のハイアベイラビリティ同期を一時停止します。
統合>その他の統合:
同期の一時停止。統合、その他の統合、高可用性の選択
タブHigh Availabilityを選択します。
FMC High Availabilityセクション
Pause Synchronizationを選択します。
[同期の一時停止]を選択します
同期が一時停止されるのを待ちます。完了したら、ユーザーが状態を一時停止する必要があります。
Degraded Synchronizationに関するアラート。ユーザーによって一時停止
ステップ 2:アップグレードパッケージのアップロード
セカンダリ(スタンバイ)ユニットにログインし、同期が一時停止していることを確認します。
統合>その他の統合>高可用性:
スタンバイユニット上。同期はユーザーによって一時停止されました
確認したら、アップグレードパッケージのアップロードを続行します。
システム>製品アップグレード:
システム、製品のアップグレード
アップグレードパッケージの選択
アップグレードするバージョンの以前にダウンロードしたパッケージを参照します。
アップグレードパッケージを参照し、アップロードを選択
ステップ 3:準備状況の確認
「使用可能なアップグレードパッケージ」リストで、必要なバージョンを選択します。次のアップグレードオプションに進みます。
利用可能なアップグレードパッケージ。アップグレードの続行
事前確認の検証が完了したら、Nextを選択します。
チェック前の検証
Run Readiness Checkをクリックします。アップグレードするアプライアンスでプロセスが開始する必要があります。
準備状況の確認の実行
完了すると、Readiness Check Resultsでステータスを確認できます。
成功した場合は、Nextを選択できます。
準備チェックに合格しました。[次へ]を選択してください
ステップ 4:FMCのアップグレード
Upgradeを選択して、アップグレードプロセスを開始します。
アップグレードの開始
アップグレードの進行状況はFMCサイトで確認できます。
アップグレードの進行状況
GUIはログアウトして再度ログインでき、アップグレードの進行状況が表示されます。
GUIでのアップグレードの進行状況
注:インストールは完了するまで約30分かかります。
CLIにアクセスできる場合は、アップグレードフォルダ/var/log/sfで進行状況を確認できます。expertモードに移行し、root accessと入力します。
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# tail -f status.log
アップグレードが完了すると、FMCがリブートします。
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Fri Oct 10 20:23:08 2025):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Fri Oct 10 20:23:13 2025):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Fri Oct 10 20:23:25 2025):
The system is going down for reboot NOW!
リブート後、FMCのGUIに再度ログインし、ユーザ契約に同意します。
ユーザ契約に同意する
新しいバージョンはFMCで確認できます。
ヘルプ>バージョン情報:
新しいバージョンの確認
CLIでは、ユーザ契約に同意した後でバージョンを確認できます。
Copyright 2004-2025, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.16.0 (build 4006)
Cisco Secure Firewall Management Center for VMware v7.6.2 (build 329)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.6.2 (build 329)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2022-01-06-001-vrt
LSP version : lsp-rel-20240417-2110
VDB version : 392
----------------------------------------------------
アップグレード後のFMCのハイアベイラビリティがSplit Brainのローカルピア(セカンダリ)に移行したため、アップグレードは完了している。
統合>その他の統合>高可用性:
ハイアベイラビリティにおけるスプリットブレイン
ステップ 5:プライマリ(アクティブ)ピアのアップグレード
プライマリユニットにログインし、ローカルピアが最も古いバージョンのピアであることを確認します。
統合>その他の統合>高可用性:
ローカルピアのバージョンの確認
このピアでステップ2 ~ 4を繰り返します。
- アップグレードパッケージをアップロードします。
-
準備状況の確認。
-
デバイスのアップグレード。
手順 6:目的のFMCをアクティブにする
アップグレードが両方のFMCで完了した後、アクティブユニットにするFMCにログインして、Make Me Activeオプションを選択します。
「統合」>「高可用性」>「Make Me Active:
アクティブにする希望単位を選択します
Warnings about processes and overwrite any configuration done in the standby peer」でYESを選択して続行します。
スタンバイピアでのアクティブ上書き設定に関する警告
OK を選択します。
分離性分割脳
同期が完了するまで待ちます。リモートピアはStandbyと表示される必要があります。
ハイアベイラビリティが一時的に低下
注:同期が完了するまでに最大20分かかることがあります。
アップグレードプロセスを完了するには、FMCアクティブユニットで保留中の変更を展開します。
検証
両方のFMCが同じバージョンにあり、同期が完了した後、[HA Summary]タブは次のように表示されます。
統合>その他の統合>高可用性:
同期の完了
警告:最終同期ステータスに「degraded」または「OK」以外の結果が表示される場合は、TACにお問い合わせください。